Unidades de disco duro cifradas

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Introducción

Las unidades de disco duro cifradas son una clase de unidades de disco duro que se cifran automáticamente en el nivel de hardware y permiten el cifrado de hardware de disco completo a la vez que son transparentes para el usuario. Estas unidades combinan las ventajas de seguridad y administración proporcionadas por Cifrado de unidad BitLocker con la eficacia de las unidades de auto-cifrado.

Al descargar las operaciones criptográficas al hardware, las unidades de disco duro cifradas aumentan el rendimiento de BitLocker y reducen el consumo de energía y el uso de CPU. Dado que las unidades de disco duro cifradas cifran los datos rápidamente, la implementación de BitLocker se puede expandir entre dispositivos empresariales con poco o ningún impacto en la productividad.

Las unidades de disco duro cifradas proporcionan:

• Mejor rendimiento: el hardware de cifrado, integrado en el controlador de unidad, permite que la unidad funcione a una velocidad de datos completa sin degradación del rendimiento.
• Seguridad segura basada en hardware: el cifrado siempre está activado y las claves de cifrado nunca salen del disco duro. La autenticación de usuario la realiza la unidad antes de que se desbloquee, independientemente del sistema operativo.
• Facilidad de uso: el cifrado es transparente para el usuario y el usuario no necesita habilitarlo. Las unidades de disco duro cifradas se borran fácilmente mediante la clave de cifrado a bordo; no es necesario volver a cifrar los datos en la unidad
• Menor costo de propiedad: no es necesario que la nueva infraestructura administre las claves de cifrado, ya que BitLocker usa la infraestructura existente para almacenar información de recuperación. El dispositivo funciona de forma más eficaz porque los ciclos de procesador no necesitan usarse para el proceso de cifrado.

Las unidades de disco duro cifradas se admiten de forma nativa en el sistema operativo mediante los siguientes mecanismos:

• Identificación: el sistema operativo identifica que la unidad es un tipo de dispositivo de disco duro cifrado .
• Activación: la utilidad de administración de discos del sistema operativo activa, crea y asigna volúmenes a intervalos o bandas según corresponda.
• Configuración: el sistema operativo crea y asigna volúmenes a intervalos o bandas según corresponda.
• API: compatibilidad de api para que las aplicaciones administren unidades de disco duro cifradas independientemente del cifrado de unidades de BitLocker
• Compatibilidad con BitLocker: la integración con la Panel de control de BitLocker proporciona una experiencia de usuario de BitLocker sin problemas

Advertencia

Las unidades de disco duro autocifres y las unidades de disco duro cifradas para Windows no son el mismo tipo de dispositivos:

• Las unidades de disco duro cifradas para Windows requieren el cumplimiento de protocolos TCG específicos, así como el cumplimiento de IEEE 1667
• los discos duros auto-cifrados no tienen estos requisitos

Es importante confirmar que el tipo de dispositivo es un disco duro cifrado para Windows al planear la implementación.

Cuando el sistema operativo identifica un disco duro cifrado, activa el modo de seguridad. Esta activación permite al controlador de unidad generar una clave multimedia para cada volumen que crea el equipo host. La clave multimedia, que nunca se expone fuera del disco, se usa para cifrar o descifrar rápidamente cada byte de datos que se envían o reciben desde el disco.

Si es un proveedor de dispositivos de almacenamiento que busca más información sobre cómo implementar el disco duro cifrado, consulte la guía de dispositivos de disco duro cifrado.

Requisitos del sistema

Para usar unidades de disco duro cifradas, se aplican los siguientes requisitos del sistema:

Para una unidad de disco duro cifrada usada como unidad de datos:

• La unidad debe estar en un estado sin inicializar
• La unidad debe estar en un estado inactivo de seguridad.

Para una unidad de disco duro cifrada usada como unidad de inicio:

• La unidad debe estar en un estado sin inicializar
• La unidad debe estar en un estado inactivo de seguridad.
• El equipo debe estar basado en UEFI 2.3.1 y tener definido.EFI\_STORAGE\_SECURITY\_COMMAND\_PROTOCOL Este protocolo se usa para permitir que los programas que se ejecutan en el entorno de servicios de arranque EFI envíen comandos de protocolo de seguridad a la unidad.
• El equipo debe tener deshabilitado el módulo de compatibilidad (CSM) en UEFI.
• El equipo siempre debe arrancar de forma nativa desde UEFI

Advertencia

Todas las unidades de disco duro cifradas deben estar conectadas a controladores que no sean RAID para que funcionen correctamente.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten el disco duro cifrado:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sí	Sí	Sí	Sí

Los derechos de licencia de disco duro cifrados se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
Sí	Sí	Sí	Sí	Sí

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Configuración de unidades de disco duro cifradas como unidades de inicio

Para configurar unidades de disco duro cifradas como unidades de inicio, use los mismos métodos que las unidades de disco duro estándar:

• Implementación desde medios: la configuración de unidades de disco duro cifradas se realiza automáticamente a través del proceso de instalación
• Implementación desde la red: este método de implementación implica el arranque de un entorno de Windows PE y el uso de herramientas de creación de imágenes para aplicar una imagen de Windows desde un recurso compartido de red. Con este método, el componente opcional Almacenamiento mejorado debe incluirse en la imagen de Windows PE. Habilite este componente mediante Administrador del servidor, Windows PowerShell o la herramienta de línea de comandos DISM. Si el componente no está presente, la configuración de unidades de disco duro cifradas no funciona.
• Implementación desde el servidor: este método de implementación implica el arranque PXE de un cliente con unidades de disco duro cifradas presentes. La configuración de las unidades de disco duro cifradas se produce automáticamente en este entorno cuando se agrega el componente Almacenamiento mejorado a la imagen de arranque PXE. Durante la implementación, la configuración TCGSecurityActivationDisabled de unattend.xml controla el comportamiento de cifrado de las unidades de disco duro cifradas.
• Duplicación de disco: este método de implementación implica el uso de un dispositivo configurado anteriormente y herramientas de duplicación de disco para aplicar una imagen de Windows a un disco duro cifrado. Las imágenes realizadas con duplicadores de disco no funcionan

Configuración del cifrado basado en hardware con la configuración de directiva

Hay tres configuraciones de directiva para administrar cómo BitLocker usa el cifrado basado en hardware y qué algoritmos de cifrado usar. Si esta configuración no está configurada o deshabilitada en sistemas equipados con unidades cifradas, BitLocker usa el cifrado basado en software:

• Configuración del uso del cifrado basado en hardware para unidades de datos fijas
• Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles
• Configuración del uso del cifrado basado en hardware para unidades de sistema operativo

Arquitectura de disco duro cifrado

Las unidades de disco duro cifradas usan dos claves de cifrado en el dispositivo para controlar el bloqueo y desbloqueo de datos en la unidad. Estas claves de cifrado son la clave de cifrado de datos (DEK) y la clave de autenticación (AK):

• La clave de cifrado de datos se usa para cifrar todos los datos de la unidad. La unidad genera la DEK y nunca sale del dispositivo. Se almacena en un formato cifrado en una ubicación aleatoria de la unidad. Si la DEK se cambia o se borra, los datos cifrados mediante la DEK son irrecuperables.
• ak es la clave que se usa para desbloquear datos en la unidad. Un hash de la clave se almacena en la unidad y requiere confirmación para descifrar la DEK.

Cuando un dispositivo con un disco duro cifrado está en estado apagado, la unidad se bloquea automáticamente. A medida que un dispositivo se activa, el dispositivo permanece en un estado bloqueado y solo se desbloquea después de que AK descifre la DEK. Una vez que AK descifra la DEK, se pueden realizar operaciones de lectura y escritura en el dispositivo.

Cuando los datos se escriben en la unidad, pasan a través de un motor de cifrado antes de que se complete la operación de escritura. Del mismo modo, la lectura de datos de la unidad requiere que el motor de cifrado descifre los datos antes de devolverlos al usuario. Si el AK necesita cambiarse o borrarse, no es necesario volver a cifrar los datos de la unidad. Es necesario crear una nueva clave de autenticación y volver a cifrar la DEK. Una vez completada, la DEK ahora se puede desbloquear con el nuevo AK y las lecturas y escrituras en el volumen pueden continuar.

Reconfiguración de unidades de disco duro cifradas

Muchos dispositivos de disco duro cifrados vienen preconfigurados para su uso. Si se requiere la reconfiguración de la unidad, use el siguiente procedimiento después de quitar todos los volúmenes disponibles y revertir la unidad a un estado sin inicializar:

1. Abrir administración de discos (diskmgmt.msc)
2. Inicialice el disco y seleccione el estilo de partición adecuado (MBR o GPT)
3. Cree uno o varios volúmenes en el disco.
4. Use el Asistente para la instalación de BitLocker para habilitar BitLocker en el volumen.